当前位置:首页 >> 农林牧渔 >>

s03-流量分析技术-netflow


NETFLOW技术原理
第三章

IP网络流量分析

3-1

目录
? NETFLOW技术原理 ? 主流流量分析工具简介

? 实验
– 使用NETFLOW对网络流量进行分析

IP网络流量分析

3-2

NetFlow原型

IP网络流量分析

3-3

NetFlow 的7个关键字

? Flow是由7个关键字段标识单方向的连接 – IPsrc,源IP地址 – IPdst,目标IP地址 – srcPort,源通信端口号 – dstPort,目标通信端口号 – Protocol,第三层协议类型 – TOS,TOS字节(DSCP) – Ifindex,网络设备输入(或输出)的逻辑网络端口
IP网络流量分析
3-4

NetFlow原理-1
? 每当路由器端口上收到一个数据包,都

会扫描这7个字段来判断次数据包是否属 于一个已经存在的flow
– 是>相应的flow记录内的数据包数,整个flow 过程的字节大小就会相应增加 – 否>一条新的描述这个session的flow在cache 中生成

? 在新的flow不断生成的同时,cache内过

期的flow记录以UDP方式导出
IP网络流量分析
3-5

NetFlow原理-2

IP网络流量分析

3-6

支持NetFlow的设备

NE系列

IP网络流量分析

3-7

对于不支持netflow的设备
? ? ? ?

读入流量,生成netflow数据 Nprobe v5/v9/nFlow Probe for IPv4/v6 Packet Size (Bytes): Throughtput (Pkt/sec)
– 64 ~ about 144 Mbit – 512 ~ about 850 Mbit – 1500 ~ about 970 Mbit

? GPL:但是不免费
IP网络流量分析
3-8

NetFlow版本

IP网络流量分析

3-9

版本 V5

IP网络流量分析

3-10

版本 v8

IP网络流量分析

3-11

版本v9

IP网络流量分析

3-12

版本v9

IP网络流量分析

3-13

NetFlow的性能
? CPU – With ~ 10000 active flows: 7.14 percentage points of additional CPU utilization – With ~ 45000 active flows: 19.16 percentage points of additional CPUutilization – With ~ 65000 active flows: 22.98 percentage points of additional CPU utilization ? 带宽 – Netflow is very efficient, the amount of export data being about 1.5% of the switched traffic in the router
IP网络流量分析
3-14

NetFlow实测对比
? CISCO实测
– 某省骨干端口GE口 GSR12416 – CPU前后没有变化2% – 平均入流量在650M,采样 率为500的时候 – 15分钟平均flow条数为 110000万条 – 每秒122条flow – 122*1.4k=171k/sec – 预期:650M的百分之一 6.5兆=6500k

? Juniper实测
– 某省骨干端口GE JUNIPER M160 – CPU前后没有变化3.76% – 平均入出流量在380M,采 样率为100的时候 – 15分钟平均flow条数为 700000万条 – 每秒778条flow – 778*1.3k=1011k/sec – 预期:380M的百分之一 3.8兆=3800k

IP网络流量分析

3-15

NetFlow采样
? Significantly reduces CPU utilization ? 采样模式 – Deterministic sampling: select every Nth packets, with N specified by the user. – Random sampling: randomly select one out of N packets with N specified by the user. – Time based sampling: select a sampled packet every N milli-seconds – Random sampling is considered the best technique for packet sampling
IP网络流量分析
3-16

NetFlow采样
? 新推出 – Available on Cisco routers in 12.3(7)T and 12.2(25)S – 从翻的MIB表里面看主要是TOP x属性 – “ciscoNetflowMIB” “1.3.6.1.4.1.9.9.387”
? E.g.
– – – – – “cnfTopFlowsNhAddressType” “cnfTopFlowsNhAddress” “cnfTopFlowsDstPort” “cnfTopFlowsDstAS” “cnfTopFlowsInputlfIndex”

IP网络流量分析

3-17

NetFlow开源产品
? 主流的开源产品包括:flow-tools、

stager、Cflowd、CUFLOW、SiLK... ? 特征:
– 命令行或者简单图形 – 命令行功能丰富 – 图形的一般都基于rrdtools – 图形的一般都基于TOPN表示

IP网络流量分析

3-18

NetFlow商用产品
? 商用产品 – Mazunetworks 基于网络的IPS系统 – NetScout 网络性能管理综合解决方案,探针 – Protego SI/EM之上的STM,刚被cisco收购 – Adlex – Arbor 见后 – GenieNRM 见后 – Arbor,Adlex是CISCO安全策略合作伙伴
IP网络流量分析
3-19

Flow tools

IP网络流量分析

3-20

Arbor
? 支持NetFlow V5,V7,V9,probe

? Peakflow SP(最新的arbor主页无法看到DoS和

Traffic,合并了?)

– Peakflow DoS:主要侧重于网络内的异常行为 – Peakflow Traffic:主要侧重于流量和路由行为

? 国外较多网络宽带提供商据使用的是Arbor的产

品,如:
– AT&T, British Telecom, EarthLink, Qwest, Sprint

IP网络流量分析

3-21

GenieNRM NTG
? 支持NetFlow V1,V5,V7,Netstream,

sFlow,探针NTG ? 提供流量统计、流量成分分析以及Top-N 排名 ? 功能侧重于历史流量等,安全方面相对 弱

IP网络流量分析

3-22

Arbor Netflow hardward
? 硬件 – Arbor高端peakflow sp – CPU:Intel Xeon 2.4G,512K – 操作系统:OPENBSD – 内存:2G ram – 硬盘:双147G (RAID 1) – 网卡:2口 10/100/1000兆 – 分析性能:每个收集器可处理20000个 Flows/秒-NTG – 只有性能,操作系统等关键问题不告知
IP网络流量分析
3-23

NetFlow的应用
? IDS and analysis – 异常流量检测 – 异常流量分析
? Top N ? 模式匹配 ? TCP标志位 ? ICMP ? 基线

IP网络流量分析

3-24

异常追踪
? ? ?

Source IP Source AS DDos
– – – – –

强调traceback,not defense 与backscatter相比,到dst的网络不中断! 选择性切断 Ifindex - spoof ip Octets with same size

?

Traffic diversion
IP网络流量分析
3-25

NetFlow的应用
? 对网络内的应用进行观测和分析 – 最受欢迎的HTTP SERVER? - XXX ;) – TOPN应用 – TOPN活跃的网段,主机 – 谁在BT,睡在架设私服,谁在发垃圾邮件 – 某种应用的历史实时曲线 – QoS – ... ...
IP网络流量分析
3-26

NetFlow优点与缺点
? 优点 – 面向网络核心设备 – 没有payload,适用于高宽带 – 检测未知的网络攻击/蠕虫,大规模爆发 – 基于统计的异常模式分析 ? 缺点 – 没有payload – 存储,处理要求 – 网络设备支持性 – 设备性能影响
IP网络流量分析
3-27

NetFlow适用范围
? 对高带宽,网络骨干,重点区域的监控

IP网络流量分析

3-28

NetFlow配置-1
?配置netflow版本号
?在config全局状态下

?(config)#ip flow-export version 5
?此命令将netflow配置为版本5

?本程序暂时只支持netflow版本V1、V5、V6

IP网络流量分析

3-29

NetFlow配置-2
? 配置netflow服务器地址和端口号
– config全局状态下: – (config)#ip flow-export destination xxx.xxx.xxx.xxx 55888 – xxx.xxx.xxx.xxx为netflow服务器地址,即运 行netflow版流量监视程序主机的IP地址

– 55888为服务端口号

IP网络流量分析

3-30

NetFlow配置-3
? 配置Cisco系列路由器/交换机
– 每个接口上,例如
? interface fastethernet0/0

? interface fastethernet0/1

– config全局状态下: – (config-if)#ip route-cache flow

IP网络流量分析

3-31

NetFlow配置-4
? 配置时区、时钟 – 在Config全局状态下 – (config)#clock timezone Beijing 8 – 此命令配置为北京时间,+8时区

IP网络流量分析

3-32

NetFlow配置-5
? 设置日期时间

– 在enable状态下 – #clock set 17:05:00 6 aug 2003 – 此命令配置为2003年8月6日17时05分00秒 ? 注意: – 要先配时区,后设置日期时间 – 接收netflow报文的计算机也要配置成相应的时区 – 有的Cisco机型掉电后,需重新设置日期和时间

IP网络流量分析

3-33


相关文章:
利用思科Netflow技术进行IP网流量和流向分析--深入浅出...
利用Cisco Netflow 技术进行 IP 网流量和流向分析 IP 网流量管理面临的挑战 随着宽带互联网在中国的迅速发展, 中国各大电信运营商的网络规模都在不断扩张且网络...
51CTO下载-netflow分析病毒
Null 63.*.*.246 11 0426 059A 1 本文中的 NetFlow 数据分析均基于 NFC 采集的网络流量数据, 针对路由器直接输出 的 Neflow 数据,也可以采用类似方法分析。...
联网异常流量的Netflow分析
Null 63.*.*.246 11 0426 059A 1 本文中的 Netflow 数据分析均基于 NFC 采集的网络流量数据, 针对路由器 直接输出的 Neflow 数据,也可以采用类似方法分析。...
NetFlow学习笔记
系统,NetFlow 已经成为一个重要的 数据提取方式, 为高端网络骨干链路的实时流量采集 分析提供高效、准确的数据摘要提取服务,是网络流量分析阵营不可或缺的基础技术。...
NETFLOW技术介绍
NETFLOW技术介绍_计算机硬件及网络_IT/计算机_专业资料。一篇比较全面的netflow知识...数据包中包含有大量的宝贵信息,这些信息可以用于网络监视、流量分析和安全 分析等...
网络流量分析研究5
目前通 用的网络流量分析技术主要包括 SNMP 技术、RMON 技术、NetStream 技术、 sFlow 技术、MPLS 技术和 NetFlow 技术。网络流量分析技术在节省运营费用、 优化网络...
网络流量分析研究
目前通 用的网络流量分析技术主要包括 SNMP 技术、RMON 技术、NetStream 技术、 sFlow 技术、MPLS 技术和 NetFlow 技术。网络流量分析技术在节省运营费用、 优化网络...
NetFlow网络业务流量监测技术的应用和设计
NetFlow 网络业务流量监测技术的应用和设计 随着宽带互联网在中国的迅速发展,全国各大电信运营商的网络规模都在不断扩张,网络结构日渐复杂, 网络业务日趋丰富,网络...
流量分析新贵NetFlow介绍
s03-流量分析技术-netflow 33页 免费如要投诉违规内容,请到百度文库投诉中心;如要提出功能问题或意见建议,请点击此处进行反馈。 流量分析新贵NetFlow介绍 隐藏>> 流量...
网络流量分析
网络流量分析概述 摘要 Internet 自 60 年代出现以来发展迅猛,网络规模飞速膨胀,...7 2.4.3 基于 Netflow/sFlow 的流量采集技术。 ... 8 2.4.4 基于干路...
更多相关标签: